Private Link für Azure Database for PostgreSQL-Einzelserver

GILT FÜR: Azure Database for PostgreSQL – Single Server

Wichtig

Azure Database for PostgreSQL – Single Server wird eingestellt. Es wird dringend empfohlen, ein Upgrade auf Azure Database for PostgreSQL – Flexible Server auszuführen. Weitere Informationen zum Migrieren zu Azure Database for PostgreSQL – Flexible Server finden Sie unter Was geschieht mit Azure Database for PostgreSQL – Single Server?

Private Link ermöglicht Ihnen das Erstellen privater Endpunkte für Azure Database for PostgreSQL-Einzelserver, um sie in Ihr privates virtuelles Netzwerk (VNet) zu integrieren. Der private Endpunkt macht eine private IP-Adresse in einem Subnetz verfügbar, die Sie verwenden können, um mit Ihrem Datenbankserver wie mit jeder anderen Ressource im VNet eine Verbindung herzustellen.

Eine Liste der PaaS-Dienste, die die Private Link-Funktion unterstützen, finden Sie in der Dokumentation zu Private Link. Ein privater Endpunkt ist eine private IP-Adresse in einem bestimmten VNET und Subnetz.

Hinweis

Das Feature „Private Link“ ist nur für Azure Database for PostgreSQL-Server in den Tarifen „Universell“ oder „Arbeitsspeicheroptimiert“ verfügbar. Stellen Sie sicher, dass für den Datenbankserver einer dieser Tarife festgelegt ist.

Verhinderung der Datenexfiltration

Datenexfiltration in einem Azure Database for PostgreSQL-Einzelserver bedeutet, dass ein autorisierter Benutzer (etwa ein Datenbankadministrator) Daten aus einem System extrahieren und an einen anderen Ort oder in ein anderes System außerhalb der Organisation verschieben kann. So kann ein Benutzer beispielsweise Daten in ein Speicherkonto eines Dritten verschieben.

Stellen Sie sich ein Szenario vor, in dem ein Benutzer PGAdmin auf einem virtuellen Azure-Computer (Virtual Machine, VM) ausführt, der eine Verbindung mit einem in der Region „USA, Westen“ bereitgestellten Azure Database for PostgreSQL-Einzelserver herstellt. Das folgende Beispiel zeigt, wie Sie den Zugriff mit öffentlichen Endpunkten in Azure Database for PostgreSQL-Einzelservern unter Verwendung von Netzwerkzugriffssteuerungen einschränken.

• Deaktivieren Sie den gesamten Datenverkehr, der von Azure-Diensten über den öffentlichen Endpunkt an Azure Database for PostgreSQL-Einzelserver gerichtet wird, indem Sie die Option Allow Azure Services (Azure-Dienste zulassen) auf „AUS“ festlegen. Stellen Sie entweder mithilfe von Firewallregeln oder mithilfe von VNET-Dienstendpunkten sicher, dass keine IP-Adressen oder IP-Adressbereiche auf den Server zugreifen können.

• Lassen Sie nur Datenverkehr an Azure Database for PostgreSQL-Einzelserver mit der privaten IP-Adresse des virtuellen Computers zu. Weitere Informationen finden Sie in den Artikeln Verwenden von VNET-Dienstendpunkten und -Regeln für Datenbankserver und IP-Firewallregeln für Azure SQL-Datenbank und Azure SQL Data Warehouse.

• Schränken Sie auf dem virtuellen Azure-Computer den Bereich der ausgehenden Verbindung mithilfe von Netzwerksicherheitsgruppen (NSGs) und Diensttags ein:

  • Geben Sie eine NSG-Regel an, um Datenverkehr für Service Tag = SQL.WestUS zuzulassen. Dadurch ist nur eine Verbindung mit Azure Database for PostgreSQL-Einzelservern in der Region „USA, Westen“ möglich.
  • Geben Sie eine NSG-Regel (mit einer höheren Priorität) an, um Datenverkehr für Service Tag = SQL zu verweigern. Dadurch werden Verbindungen mit der PostgreSQL-Datenbank in allen Regionen verweigert.
    
    

Am Ende dieser Einrichtung kann der virtuelle Azure-Computer nur eine Verbindung mit Azure Database for PostgreSQL-Einzelservern in der Region „USA, Westen“ herstellen. Die Konnektivität ist jedoch nicht auf einen einzelnen Azure Database for PostgreSQL-Einzelserver beschränkt. Der virtuelle Computer kann weiterhin eine Verbindung mit beliebigen Azure Database for PostgreSQL-Einzelservern in der Region „USA, Westen“ herstellen – also auch mit den Datenbanken, die nicht Teil des Abonnements sind. Wir haben den Bereich der Datenexfiltration im obigen Szenario auf eine bestimmte Region reduziert, sie aber nicht vollständig unterbunden.

Mit Private Link können Sie nun Netzwerkzugriffssteuerungen wie NSGs einrichten, um den Zugriff auf den privaten Endpunkt einzuschränken. Einzelne Azure-PaaS-Ressourcen werden dann bestimmten privaten Endpunkten zugeordnet. Ein böswilliger Insider kann somit nur auf die zugeordnete PaaS-Ressource (also etwa auf einen Azure Database for PostgreSQL-Einzelserver) zugreifen, nicht aber auf andere Ressourcen.

Lokale Konnektivität über privates Peering

Wenn Sie von lokalen Computern aus eine Verbindung mit dem öffentlichen Endpunkt herstellen, muss Ihre IP-Adresse mithilfe einer Firewallregel auf Serverebene der IP-basierten Firewall hinzugefügt werden. Dieses Modell eignet sich zwar gut, um den Zugriff auf einzelne Computer für Entwicklungs- oder Testworkloads zuzulassen, in einer Produktionsumgebung gestaltet sich die Verwaltung jedoch schwierig.

Mit Private Link können Sie standortübergreifenden Zugriff auf den privaten Endpunkt mittels ExpressRoute, privatem Peering oder VPN-Tunneln ermöglichen. Anschließend können Sie den gesamten Zugriff über einen öffentlichen Endpunkt deaktivieren, ohne die IP-basierte Firewall zu verwenden.

Hinweis

In einigen Fällen befinden sich Azure Database for PostgreSQL und das VNET-Subnetz in unterschiedlichen Abonnements. In diesen Fällen müssen Sie folgende Konfigurationen sicherstellen:

• Stellen Sie sicher, dass für beide Abonnements der Ressourcenanbieter Microsoft.DBforPostgreSQL registriert ist.

Konfigurieren von Private Link für Azure Database for PostgreSQL-Einzelserver

Erstellungsprozess

Zum Aktivieren von Private Link sind private Endpunkte erforderlich. Hierfür können Sie die folgenden Schrittanleitungen verwenden.

• Azure portal
• BEFEHLSZEILENSCHNITTSTELLE (CLI)

Genehmigungsprozess

Nachdem der Netzwerkadministrator den privaten Endpunkt (PE) erstellt hat, kann der PostgreSQL-Administrator die private Endpunktverbindung (Private Endpoint Connection, PEC) mit Azure Database for PostgreSQL verwalten. Diese Aufteilung von Aufgaben zwischen dem Netzwerkadministrator und Datenbankadministrator ist für die Verwaltung der Konnektivität von Azure Database for PostgreSQL hilfreich.

• Navigieren Sie im Azure-Portal zur Azure Database for PostgreSQL-Serverressource.
  • Auswählen der privaten Endpunktverbindung im linken Bereich
  • Liste mit allen privaten Endpunktverbindungen (Private Endpoint Connections, PECs)
  • Der entsprechende erstellte private Endpunkt (PE)

• Wählen Sie eine einzelne PEC aus der Liste aus.

• Der PostgreSQL-Serveradministrator kann eine PEC genehmigen oder ablehnen und optional eine kurze Textantwort hinzufügen.

• Nach der Genehmigung oder Ablehnung wird der entsprechende Zustand zusammen mit dem Antworttext in der Liste angezeigt.

Anwendungsfälle von Private Link für Azure Database for PostgreSQL

Clients können eine Verbindung mit dem privaten Endpunkt über das gleiche VNet, über das mittels Peering verbundene VNet in der gleichen Region oder regionsübergreifend über eine VNet-to-VNet-Verbindung herstellen. Darüber hinaus können Clients von der lokalen Umgebung aus eine Verbindung über ExpressRoute, privates Peering oder VPN-Tunneling herstellen. Die gängigen Anwendungsfälle sind im folgenden Diagramm vereinfacht dargestellt:

Herstellen einer Verbindung über einen virtuellen Azure-Computer in einem virtuellen Netzwerk (VNET) mit Peering

Konfigurieren Sie das VNET-Peering, um über einen virtuellen Azure-Computer in einem VNET mit Peering eine Verbindung mit dem Azure Database for PostgreSQL-Einzelserver herzustellen.

Herstellen einer Verbindung über einen virtuellen Azure-Computer in einer VNET-zu-VNET-Umgebung

Konfigurieren Sie eine VNet-zu-VNet-VPN-Gatewayverbindung, um über einen virtuellen Azure-Computer in einer anderen Region oder einem anderen Abonnement eine Verbindung mit einer Azure Database for PostgreSQL –Single Server-Instanz herzustellen.

Herstellen einer VPN-Verbindung in einer lokalen Umgebung

Verwenden oder implementieren Sie eine der folgenden Optionen, um in einer lokalen Umgebung eine Verbindung mit dem Azure Database for PostgreSQL-Einzelserver herzustellen:

• Point-to-Site-Verbindung
• Site-to-Site-VPN-Verbindung
• ExpressRoute-Verbindung

Private Link in Kombination mit Firewallregeln

Folgende Fälle und Ergebnisse sind bei Verwendung von Private Link in Verbindung mit Firewallregeln möglich:

• Wenn Sie keine Firewallregeln konfigurieren, ist standardmäßig kein Datenverkehrszugriff auf den Azure Database for PostgreSQL-Einzelserver möglich.

• Wenn Sie öffentlichen Datenverkehr oder einen Dienstendpunkt konfigurieren und private Endpunkte erstellen, werden verschiedene Arten von eingehendem Datenverkehr durch den entsprechenden Typ der Firewallregel autorisiert.

• Wenn Sie keinen öffentlichen Datenverkehr oder Dienstendpunkt konfigurieren und private Endpunkte erstellen, kann auf den Azure Database for PostgreSQL-Einzelserver nur über die privaten Endpunkte zugegriffen werden. Wenn Sie keinen öffentlichen Datenverkehr oder Dienstendpunkt konfigurieren, ist nach dem Ablehnen oder Löschen aller genehmigten privaten Endpunkte kein Datenverkehrszugriff auf den Azure Database for PostgreSQL-Einzelserver möglich.

Verweigern des öffentlichen Zugriffs auf Azure Database for PostgreSQL-Einzelserver

Wenn Sie sich für den Zugriff auf Ihren Azure Database for PostgreSQL-Einzelserver nur auf private Endpunkte verlassen möchten, können Sie das Festlegen aller öffentlichen Endpunkte (Firewallregeln und VNET-Dienstendpunkte) deaktivieren, indem Sie die Konfiguration Zugriff auf öffentliches Netzwerk verweigern auf dem Datenbankserver festlegen.

Wenn diese Einstellung auf JA festgelegt ist, sind nur Verbindungen über private Endpunkte mit Ihrer Azure Database for PostgreSQL-Instanz zulässig. Wenn diese Einstellung auf NEINfestgelegt ist, können Clients basierend auf Ihrer Firewall- oder VNET-Dienstendpunkt-Einstellung eine Verbindung mit Ihrer Azure Database for PostgreSQL-Instanz herstellen. Sobald der Wert des privaten Netzwerkzugriffs festgelegt ist, können Kunden außerdem weder Firewall- oder VNET-Dienstendpunkt-Regeln hinzufügen noch vorhandene aktualisieren.

Hinweis

Dieses Feature steht in allen Azure-Regionen zur Verfügung, in denen Azure Database for PostgreSQL-Einzelserver die Tarife „Universell“ und „Arbeitsspeicheroptimiert“ unterstützen.

Diese Einstellung hat keinerlei Auswirkung auf die SSL- und TLS-Konfigurationen für Ihren Azure Database for PostgreSQL-Einzelserver.

Informationen zum Festlegen von Zugriff auf öffentliches Netzwerk verweigern für Ihren Azure Database for PostgreSQL-Einzelserver im Azure-Portal finden Sie unter Konfigurieren von „Zugriff auf öffentliches Netzwerk verweigern“.

Zugehöriger Inhalt

Weitere Informationen zu Sicherheitsfeatures für Azure Database for PostgreSQL-Einzelserver finden Sie in den folgenden Artikeln:

• Informationen zum Konfigurieren einer Firewall für Azure Database for PostgreSQL-Einzelserver finden Sie unter Firewallregeln in Azure Database for PostgreSQL – Einzelserver.

• Informationen zum Konfigurieren eines VNET-Dienstendpunkts für Ihren Azure Database for PostgreSQL-Einzelserver finden Sie unter Verwenden von VNET-Dienstendpunkten und -Regeln für Azure Database for PostgreSQL – Einzelserver.

• Eine Übersicht über die Konnektivität für Azure Database for PostgreSQL-Einzelserver finden Sie unter Verbindungsarchitektur in Azure Database for PostgreSQL.